La empresa de ciberseguridad Hackmanac, especializada en análisis de amenazas desde hace 13 años, ha publicado el presunto secuestro (ransomware) de datos de la Agencia Tributaria Española (AEAT) a través de un programa de extorsión llamado Trinity. Como informa la red X, los delincuentes exigen 38 millones de dólares a cambio de datos por un total de 560 GB, la capacidad de un disco duro medio. La fecha límite para evitar la publicación de información supuestamente robada es el 31 de diciembre. La entidad del Gobierno español ha negado el ataque e informado del normal funcionamiento de todos los servicios. «No se ha detectado ningún indicio de posible equipo cifrado o salida de datos», afirma.
Hackmanac no ha facilitado más información que la publicación en X de la captura de pantalla de la extorsión publicada en el red oscurael área de Internet a la que no pueden acceder los motores de búsqueda convencionales y se caracteriza por el uso de redes anónimas para ocultar la identidad del usuario y la ubicación del sitio. A menudo se asocia con actividades ilegales.
🚨¡¡Alerta de Ciberataque!!
🇪🇸España – Agencia Tributaria (AEAT)
El grupo de hackers Trinity afirma haber vulnerado la Agencia Tributaria AEAT.
Según la publicación, se extrajeron 560 GB de datos.
Fecha límite de rescate: 31 de diciembre 24. pic.twitter.com/HJEyYSzAor
-HackManac (@H4ckManac) 1 de diciembre de 2024
La Agencia Tributaria ha asegurado que «evalúa la situación, que permanece bajo vigilancia», pero que, hasta el momento, no han identificado ninguna laguna.
Trinity es un programa de secuestro y extorsión dirigido especialmente a infraestructuras críticas, como hospitales o centros de gestión económica y administrativa. Este programa utiliza varios métodos de ataque para infiltrarse y tomar el control de los sistemas o robar información: correos electrónicos falsos de apariencia corporativa (phishing), páginas maliciosas y explotación de vulnerabilidades de programación.
Según el centro de seguridad estadounidense HC3, The ransomware Trinity es un actor de amenazas relativamente nuevo, similar a 2023Lock y Venus, que utiliza el algoritmo de cifrado ChaCha20. Los archivos cifrados están etiquetados con la extensión «.trinitylock».
El ransomware Trinity fue visto por primera vez en mayo de 2024 y ha sido detectado en al menos siete entidades de Estados Unidos, principalmente centros de salud. Tras la instalación, el programa comienza a recopilar detalles del sistema, como la cantidad de procesadores, subprocesos disponibles y unidades conectadas para optimizar sus operaciones de cifrado de subprocesos múltiples. Luego intenta aumentar sus privilegios falsificando las credenciales para un proceso legítimo. Esto le permite eludir los protocolos y protecciones de seguridad. Además, realiza escaneo de red y movimiento lateral, lo que indica su capacidad para propagarse y llevar a cabo ataques en múltiples sistemas en una red específica. Actualmente no hay herramientas de descifrado disponibles para el secuestro de Trinity, lo que deja a las víctimas con pocas opciones de recuperación.